Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Client Security Solution 8.3 Implementierungshandbuch - Lenovo
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> mit Chiffrierschlüsseln verwalten<br />
<strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> wird durch die beiden wichtigsten Implementierungsaktivitäten beschrieben:<br />
„Eigentumsrecht übernehmen“ und „Benutzer registrieren“. Bei der ersten Ausführung des<br />
Konfigurationsassistenten von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> werden diese beiden Prozesse während der<br />
Initialisierung ausgeführt. Die Windows-Benutzer-ID, die den Installationsassistenten für <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong> ausgeführt hat, ist der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator und ist als aktiver Benutzer registriert.<br />
Jeder andere Benutzer, der sich am System anmeldet, wird automatisch aufgefordert, sich bei <strong>Client</strong><br />
<strong>Security</strong> <strong>Solution</strong> zu registrieren.<br />
• Eigentumsrecht übernehmen<br />
Eine einzige Windows-Administrator-ID ist als einziger <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator für das<br />
System zugeordnet. Verwaltungsfunktionen von <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> müssen über diese Benutzer-ID<br />
ausgeführt werden. Die Berechtigung für das TPM (Trusted Platform Module) ist entweder das<br />
Windows-Kennwort dieses Benutzers oder der <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext.<br />
Anmerkung: Die einzige Möglichkeit einer Wiederherstellung, wenn das <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Administratorkennwort oder der -Verschlüsselungstext vergessen wurde, besteht<br />
darin, die Software mit gültigen Windows-Berechtigungen zu deinstallieren oder den Inhalt des<br />
Sicherheitschips im BIOS zu löschen. Bei beiden Möglichkeiten gehen die Daten, die über die dem<br />
TPM zugeordneten Schlüssel geschützt werden, verloren. <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> bietet außerdem<br />
einen optionalen Mechanismus, mit dessen Hilfe Sie ein vergessenes Kennwort oder einen vergessenen<br />
Verschlüsselungstext selbst wiederherstellen können. Dieser Mechanismus basiert auf Fragen und<br />
Antworten zur Identifizierung. Der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator entscheidet, ob diese Funktion<br />
verwendet wird.<br />
• Benutzer registrieren<br />
Nachdem der Prozess „Eigentumsrecht übernehmen“ abgeschlossen und ein <strong>Client</strong> <strong>Security</strong><br />
<strong>Solution</strong>-Administrator erstellt wurde, kann ein Benutzerbasisschlüssel erstellt werden, um die<br />
Berechtigungsnachweise für den gerade angemeldeten Windows-Benutzer sicher zu speichern. Dadurch<br />
können sich mehrere Benutzer bei <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> registrieren und das einzelne TPM nutzen.<br />
Benutzerschlüssel werden über den Sicherheitschip gesichert, aber tatsächlich außerhalb des Chips auf<br />
der Festplatte gespeichert. Diese Technologie erstellt Festplattenspeicherplatz als den einschränkenden<br />
Speicherfaktor anstelle des tatsächlichen in den Sicherheitschip integrierten Speichers. Damit wird die<br />
Anzahl der Benutzer, die dieselbe sichere Hardware nutzen können, deutlich erhöht.<br />
Eigentumsrecht übernehmen<br />
Die Sicherheitsbasis für <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> ist der System-Rootschlüssel (SRK, System Root Key).<br />
Dieser nicht migrierbare asymmetrische Schlüssel wird in der sicheren Umgebung des TPMs (Trusted<br />
Platform Module) generiert und gegenüber dem System nie offengelegt. Die Berechtigung zur Nutzung des<br />
Schlüssels wird beim Ausführen des Befehls „TPM_TakeOwnership“ über das Windows-Administratorkonto<br />
abgeleitet. Wenn das System einen <strong>Client</strong> <strong>Security</strong>-Verschlüsselungstext nutzt, ist der <strong>Client</strong><br />
<strong>Security</strong>-Verschlüsselungstext für den <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator die TPM-Berechtigung.<br />
Andernfalls wird das Windows-Kennwort des <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrators verwendet.<br />
Mit Hilfe des für das System erstellten SRK können andere Schlüsselpaare erstellt und verpackt oder<br />
geschützt durch die auf Hardware basierenden Schlüssel außerhalb des TPMs gespeichert werden. Da es<br />
sich beim TPM, das den SRK enthält, um Hardware handelt und Hardware beschädigt werden kann, ist<br />
ein Wiederherstellungsmechanismus erforderlich, um sicherzustellen, dass bei einer Beschädigung des<br />
Systems eine Datenwiederherstellung möglich ist.<br />
Um ein System wiederherzustellen, wird ein Systembasisschlüssel erstellt. Mit diesem asymmetrischen<br />
Speicherschlüssel kann der <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong>-Administrator das System nach dem Austauschen<br />
der Systemplatine oder der geplanten Migration auf ein anderes System wiederherstellen. Damit<br />
der Systembasisschlüssel geschützt ist und gleichzeitig bei normalem Betrieb oder bei einer<br />
24 <strong>Client</strong> <strong>Security</strong> <strong>Solution</strong> <strong>8.3</strong> <strong>Implementierungshandbuch</strong>